云数据库Redis基于阿里云日志服务SLS(Log Service),推出新版审计日志功能,为您提供日志的查询、在线分析、导出等功能,助您时刻掌握产品安全及性能情况。
前提条件
- Redis实例为本地盘版。
- Redis实例为社区版或Tair性能增强型。
- Redis实例的引擎版本为4.0或以上,且实例的小版本为最新。关于如何升级版本,请参见升级大版本和升级小版本。
- 如果使用RAM用户开通审计日志,需要授予RAM用户AliyunLogFullAccess权限。具体操作,请参见授予权限。
- 如果使用RAM用户访问审计日志,需要授予RAM用户AliyunLogFullAccess或者AliyunLogReadOnlyAccess权限。具体操作,请参见授予权限。
您也可以仅按照日志库(Logstore)维度,创建自定义权限策略,授予RAM用户日志服务的所有权限或者只读权限,具体操作,请参见创建自定义权限策略。策略内容如下:
- 所有权限:
{ "Version": "1", "Statement": [ { "Action": "log:*", "Resource": "acs:log:*:*:project/nosql-*", "Effect": "Allow" } ] }
- 只读权限:
{ "Version": "1", "Statement": [ { "Action": [ "log:Get*", "log:List*" ], "Resource": "acs:log:*:*:project/nosql-*", "Effect": "Allow" } ] }
- 所有权限:
典型场景
云数据库Redis将阿里云日志服务的部分功能融合到审计日志中,为您带来更加稳定、易用、灵活且高效的云Redis审计日志服务,典型使用场景如下:
典型场景 | 说明 |
---|---|
操作审查 | 帮助安全审计人员定位数据修改的操作者身份或时间点等信息,帮助识别是否存在滥用权限、执行非合规命令等内部风险。 |
安全合规 | 助力业务系统通过安全规范中关于审计部分的要求。 |
注意事项
- 开通审计日志后,系统将记录写操作的审计信息,视写入量或审计量可能会对Redis实例造成5%~15%的性能损失及一定的延时抖动。
注意
- 如果您的业务对Redis实例的写入量非常大(例如大量使用INCR进行计数),建议仅在故障排查或安全审计时开通该功能,以免带来性能损失。
- 由于读操作的量通常非常大,为避免记录读操作的审计信息给实例性能带来冲击,审计日志仅记录写操作的审计信息,不会记录读操作的审计信息。
- 设置日志保留时长的操作对当前地域下的所有Redis实例生效,其他操作(例如开通新版审计日志)均只对当前操作的实例生效。
费用说明
根据审计日志的存储空间和保存时长按量收取费用,不同地域的收费标准有所区别,更多信息,请参见收费项与价格。
说明 免费试用版已于2021年02月04日下线。更多信息,请参见【通知】云数据库Redis审计日志正式版上线。
操作步骤
相关API
API | 说明 |
---|---|
ModifyAuditLogConfig | 设置Redis实例的审计日志开关与保留时长。 |
DescribeAuditLogConfig | 查询Redis实例审计日志是否开启、日志保存时间等配置信息。 |
DescribeAuditRecords | 查询Redis实例的审计日志。 |
常见问题
- Q:如何关闭某个实例的审计功能?
A:您可以在审计日志页面,单击右上角的服务设置,关闭所有节点的审计开关。
- Q:如何下载完整的审计日志?
A:具体操作,请参见下载日志。在操作时,您需要注意以下内容:
- 在执行下载日志的操作时,选择的目标Project的命名格式为
nosql-{用户UID}-{Region}
,例如nosql-17649847257****-cn-hangzhou;然后选择目标Logstore为redis_audit_log_standard。 - 下载方式选择为通过Cloud Shell下载或通过命令行工具下载即可下载全部日志,如果选择为直接下载,仅会下载本页面展示的日志。
- 在执行下载日志的操作时,选择的目标Project的命名格式为
- Q:为什么仅支持写操作的审计功能,不开放读操作的审计功能?
A:绝大多数场景下读操作占比较高,读操作的审计将带来较多的性能损失,且由于要存储的数据过大,如果保持稳定的策略有可能会丢失部分审计日志,所以未开放读操作的审计功能。
- Q:正式版的审计日志保存时长是当前地域生效,如果第一个实例设置为7天,第二个实例设置为14天,最终以哪个为准?
A:以最近一次设置的为准。
- Q:为什么某些审计日志对应的客户端IP不是业务所属的客户端?
A:因为审计日志包含了管控类的写操作日志,您可以过滤相关信息。